Supply-Chain Firewall – a fejlesztők védelme a rosszindulatú open source csomagoktól
A PyPI és az npm nyílt forráskódú rosszindulatú szoftverek folyamatos monitorozása során szinte minden nap megfigyelhetjük a szoftverfejlesztőket célzó rosszindulatú csomagokat. A Datadog Security Labs 2024. december 6-án bemutatta a Supply-Chain Firewallt, egy új nyílt forráskódú projektet, amelynek célja a fejlesztők, a szoftverellátási lánc elsődleges fogyasztóinak védelme a rosszindulatú nyílt forráskódú csomagokkal szemben.
A Supply-Chain Firewall egy Python eszköz, amely megakadályozza a rosszindulatú és sérülékeny PyPI és npm csomagok telepítését. Elsődleges célja, hogy megvédje a szoftvermérnökök fejlesztői munkaállomásait a kompromittálódástól pontosan az ilyen típusú szoftver-ellátási lánc támadások révén.
Egy pip vagy npm parancs futtatható a Supply-Chain Firewallon keresztül, ha egyszerűen az scfw run előtaggal. A Supply-Chain Firewall blokkolja az install parancsot az olyan csomagokhoz, amelyről ismert, hogy rosszindulatú.
